Discussion :

[Olivier Famien]

USA : 57 % des entreprises estiment qu’il est difficile de trouver des compétences pointues en cybersécurité
et 35 % trouvent difficile de les retenir

Comprendre l’environnement dans lequel l’on évolue est un élément important pour la prise de décision des entreprises. Trustwave, qui est une entreprise fournissant un ensemble de ressources notamment des services de sécurité managés et des services cloud, des hackers éthiques, des experts en sécurité et différentes technologies en vue de protéger les entreprises contre diverses formes de menaces, a mené un sondage par le biais de l’entreprise de recherche Osterman Research du mois d’août à septembre 2016 afin d’avoir une meilleure compréhension des problèmes liés aussi bien au recrutement de talents en sécurité informatique dans les entreprises, qu’à l’identification des compétences dont elles ont besoin, au budget alloué à la sécurité informatique et bien d’autres questions liées à la gestion de la sécurité informatique.

Pour y arriver, Osterman a interrogé 147 décideurs, influenceurs et conseillers en matière de sécurité IT dans des entreprises de grande taille ou de taille moyenne en Amérique du Nord. Après avoir dépouillé les réponses de l’ensemble des personnes interrogées, il s’avère que pour 57 % des participants, trouver et recruter des professionnels en sécurité informatique relève d’un véritable parcours du combattant. Mais une chose est d’avoir la personne idoine et une autre chose est de pouvoir la retenir au sein de son entreprise. 35 % des répondants estiment qu’il est difficile de retenir les personnes ayant des compétences avérées dans des domaines spécialisés de la sécurité.

Par ailleurs, sur les 147 personnes interrogées, seules 8 % estiment que trois quarts de leur personnel voire plus disposent des compétences pointues pour faire face à des problèmes complexes. Cette rareté des compétences pousse seulement 1 personne interrogée sur 9 à affirmer pouvoir dénicher des talents dont elles ont besoin pour répondre à leurs exigences en matière de sécurité tandis qu’un tiers des répondants déclarent avoir de la difficulté à identifier les compétences en matière de sécurité informatique et les compétences dont ils ont besoin. De même, presque la moitié croient que ce problème va s’aggraver.

En général, affirment les personnes interrogées, les entreprises sont mieux outillées et plus tournées vers la maintenance de routine et l’activité de mise à jour. Mais lorsqu’il s’agit d’aborder les menaces émergentes ou en évolution, 40 % des personnes ayant répondu au sondage avouent ne pas avoir les compétences adéquates pour faire face à ces problèmes.

Pour régler ce problème, les répondants souhaitent accroître l’expertise de leurs employés au lieu de chercher à augmenter le nombre d’employés. En outre, bien que les diplômes et les certificats peuvent constituer des éléments de base pour répondre aux exigences de ces entreprises, les répondants soulignent que les personnes recherchées dans ce domaine sont celles qui ont en fait de l’expérience à revendre.

Toutefois, comme pour tous les secteurs d’activité, faire appel à des personnes hautement qualifiées pour assurer la cybersécurité a un coût. L’idéal aurait été que les responsables de la sécurité informatique puissent disposer d’un budget qui leur permettrait d’investir là où il le faut afin de pouvoir régler les problèmes qui pour leur part sont les plus cruciaux. Malheureusement, la majorité de ces personnes ont peu ou pas de contrôle sur leur budget.

Seuls un peu moins de 30 % des répondants estiment être entièrement soutenus par les cadres supérieurs de leurs entreprises lorsqu’il s’agit d’investir pour avoir les personnes et compétences idoines pour faire face aux problèmes complexes de sécurité. Encore plus alarmant, au moins 7 responsables de la sécurité informatique sur 10 ont quelques fois ou couramment des désaccords avec leur direction sur les questions de budgétisation et de dotation. Pour avoir une idée de ce qui se fait généralement en entreprises, le sondage révèle que près de trois départements informatiques sur quatre ne consacrent pas plus d’un quart de leur budget informatique à la sécurité.

Télécharger le rapport Trustwave (PDF)

Source : Trustwave

Et vous ?

Que pensez-vous de ce rapport ? Partagez-vous ses conclusions ?

Est-il réellement difficile de trouver et de recruter des personnes hautement qualifiées pour faire face aux problèmes complexes de sécurité en entreprise ?

Voir aussi

Les jeunes se désintéressent de l'industrie de la cybersécurité, un secteur où bien souvent l'offre est supérieure à la demande

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

[Tagashy]

La news est pour moi totalement logique, la plupart des personnes "pointu" en sécurité info sont autodidacte et ont des personnalités atypiques donc le recrutement est logiquement plus difficile car les profils moins classique ce qui concorde avec :

il s’avère que pour 57 % des participants, trouver et recruter des professionnels en sécurité informatique relève d’un véritable parcours du combattant.

A ça on peut rajouter le fait que la sécu est très peu pousser par les écoles actuellement, ou est fait de façon ridicule (je pense a mon école ou on dis faire de la sécu mais dans les fait seule une lecture de la norme ISO 27001 est faite ...)
il faut rajouter a ça que les personne en secu préfèrent être avec d'autre personne les comprenant et avec qui ils peuvent discuter de technique, a rajouter a ca que ces personnes ont souvent tendance a être intéresser par les "défi", une routine va plus les ennuyer qu'autre chose ce qui les amènerais a choisir des entreprises ou il y as beaucoup de renouveau ce qui concorde avec

35 % des répondants estiment qu’il est difficile de retenir les personnes ayant des compétences avérées dans des domaines spécialisés de la sécurité.

.

voilà pour mon avis (il est tous de même plus porter sur la sécurité offensive que défensive)

[BufferBob]

totalement d'accord, à quoi j'ajouterai tout simplement concernant le fait que 35% des entreprises trouvent qu'il est difficile de retenir ces spécialistes, que ces derniers vont probablement là où est le pognon, ici l'étude est réalisée en Amérique du nord mais les considérations sont les mêmes en France, et nombreux sont ceux qui se cassent bosser ailleurs pour des raisons de salaires à la hauteur de leurs compétences

[NSKis]

La problématique est la même pour tous les gouvernements européens qui y vont tous de leur annonce: "Nous allons engager x milliers de personnes pour améliorer notre cyberdéfense"

En réalité, on ne peut pas former un mec avec des "compétences pointues" dans le domaine, on peut juste former des "amateurs" connaissant les failles répertoriées et archiconnues!!!

Les statistiques sont du côté des hackers, il est toujours plus facile de voir émerger des "petits génies" dans une population mondiale de plus de 8 milliards d'habitants que dans un département étatique dédié à la cybersécurité comptant au plus quelques milliers d'individus formés en théorie... mais pas en pratique!

Malheureusement pour notre société humaine, il va du hacker comme de l'Art (avec un grand A), la civilisation ne crée pas tous les jours un "Leonardo da Vinci" ou un "Mozart"...